Директор по безопасности Алекс Стамос на веб-саммите в Лиссабоне сказал, что Facebook осуществляет покупку паролей, продаваемых на онлайн черных рынках, чтобы выяснить, какие из них пользователи используют повторно.
CNET цитирует Стамоса:
«Повторное использование паролей является причиной № 1 всего зла в Интернете».
Сообщается, что Facebook сверяет пароли с хэшами паролей пользователей, чтобы увидеть, совпадают ли они. Стамос отметил, что данная работа является «тяжелой с точки зрения проводимых вычислений», но это дает возможность Facebook предупредить десятки миллионов своих пользователей и попросить их усилить свои пароли.
Нам уже было известно, что Facebook сверяет учетные данные пользователей с кэшами украденных логинов, размещенный в онлайн доступе.
Это стало известно после утечки данных из компании Adobe в 2013 году, когда команда по обеспечению безопасности Facebook расследовала утечку данных, чтобы выявить пользователей, которые совершили вопиющий грех против безопасности, используя один и тот же пароль для входа как на Facebook, так и в Adobe.
Обнаружив совпадения, Facebook заблокировал пользователей, скрыв их аккаунты от глаз общественности, пока владельцы не изменили свои пароли.
В то время, многие люди задавались вопросом, как Facebook удалось обнаружить повторное использование одного и того же пароля без сохранения этих паролей в открытом или в каком-либо другом незашифрованном виде. Некоторые могут задать тот же вопрос в отношении покупок паролей на черном рынке.
Крис Лонг, менеджер, отвечающий за реагирование на инциденты в сфере безопасности Facebook, дал в свое время этому объяснение:
«Мы использовали пароли, сохраненные в виде простого текста, которые уже были восстановлены исследователями. Мы взяли эти восстановленные пароли и прогнали их через тот же самый код, который используем для проверки вашего пароля при входе в систему».
Проще говоря, Facebook не хранит пароли пользователей. Правильнее сказать, компания прогоняет их через однонаправленную хэш-функцию и сохраняет результат.
Компания имеет возможность делать это, поскольку пароли могут быть использованы для создания хэша, но в обратную сторону функция не действует: хэш не может быть использован для воссоздания пароля, ставшего его основой.
Когда кто-то входит на свою страницу Facebook, введенный пароль пропускается через хэш-функцию в одну сторону. Если результат соответствует той записи, которая имеется у Facebook, то пользователю разрешается войти в аккаунт.
Facebook использовал тот же самый процесс в отношении паролей, восстановленных исследователями из данных компании Adobe. То же самое делается и с паролями, приобретенными на черном рынке: если восстановленный пароль, проходящий через хэш-функцию Facebook, соответствует записи компании для этого пользователя, Facebook знает, что нашел еще одного человека, использующего один и тот же пароль повторно.
Зная эту давнишнюю новость о том, как Facebook защищает своих пользователей, мы, тем не менее, не знали, что компания выкупает пароли у мошенников. Это, конечно, откровение, но с другой стороны, если подумать, то такие действия вполне обоснованы: как еще компании получить взломанные пароли?
И все же, это поднимает определенные этические вопросы. Имеет ли право компания субсидировать кибермошенников?
Это можно сравнить с платой вымогателям, и это именно то, от чего правоохранительные органы изо-всех сил отговаривают жертв вымогательств.
В действительности, в июле этого года национальная полиция Голландии и Европейская Полиция запустили портал под названием «Никаких больше выкупов», направленный на оказание помощи в восстановлении украденных данных без необходимости платить выкуп жуликам, которые могут попытаться потребовать от вас денег второй и в третий раз, или… ну вы поняли идею.
Что эти правоохранительные органы будут думать о компании Facebook, которая самолично кладет деньги в карманы мошенников? Что они должны думать, учитывая, что это делается ради защиты пользователей от всяких угроз — в том числе и от вредоносного ПО, например, от программ-вымогателей?
